附　錄　B （資料性附錄） 泛雜湊函數的安全性信息

針對采用泛雜湊函數的MAC算法的若干攻擊在[5]中有描述。相對于其它類型的MAC算法，極少量的偽造就可以構成針對采用泛雜湊函數的MAC算法的密鑰恢復攻擊，并最終導致安全性完全崩潰。

為抵御這些攻擊，強烈建議實施以下一項或多項對策：

a) 增強安全性等級（例如，taglen），從而使得第一次偽造在實際應用中是不可行的。

b) 有計劃地更新MAC算法使用的整個密鑰。如果可能，使用者甚至應該為每個消息更新密鑰。注意到，不僅是在單一密鑰下處理的消息個數應該被限制，在同一密鑰下處理的消息分組的總和也應該被限制。

c) 發送方與接收方需要保證/驗證在相同的MAC密鑰下使用的臨時值是否唯一。當臨時值重復使用時，算法的安全性將嚴重降低。

d) 接收方應該將大量的失敗的MAC鑒別作為一種攻擊企圖進行檢測，并對這種情況恰當處理。